Польсько-український портал Portal Polsko-Ukraiński jest portalem internetowym o charakterze analityczno-informacyjnym
Схожі статті
Служба безпеки України попереджає про можливу нову кібератаку на мережі українських установ і підприємств. І просить дотримуватися рекомендацій, які розробили фахівці. Про це POLUKR.net повідомили у прес-центрі СБУ.
Нагадаємо, 27 червня цього року низка українських підприємств, державних установ, банків і засобів масової інформації зазнали масштабної кібератаки з використанням шкідливого програмного забезпечення – комп’ютерного вірусу «Petya».
Проаналізувавши передумови та наслідки цієї атаки, фахівці з’ясували, що їй передував збір даних про підприємства України: електронні пошти, паролі до облікових записів, які використовують підприємства та їхні співробітники, реквізити доступу до командно-контрольних серверів і хеш-дані облікових записів користувачів в уражених системах та інша інформація, яка відсутня у відкритому доступі. У подальшому їх було приховано у файлах cookies і відправлено на командний сервер.
Фахівці СБУ припускають, що саме ця інформація була метою першої хвилі кібератаки. І зазначають, що ініціатори атаки можуть використати ці дані і для проведення кіберрозвідки, і з метою подальших деструктивних акцій.
Річ у тім, що фахівці під час дослідження кібератаки «Petya» виявили утиліту Mimikatz. Цей інструмент, серед іншого, дозволяє отримати автентифікаційні дані з системи у відкритому вигляді. Ця утиліта використовує особливості служби Kerberos у Microsoft Active Directory, щоб приховано зберегти привілейований доступ до ресурсів домену.
Тож зловмисники внаслідок проведеної кібератаки «Petya» несанкціоновано отримали адміністративні відомості, які можуть дати змогу зайти в систему та реалізувати другу хвилю атаки шляхом перехоплення реквізитів керування доступом і політиками безпеки.
З огляду на це, а також враховуючи, що шкідливе програмне забезпечення тривалий час перебувало у скомпрометованих 27 червня інформаційно-телекомунікаційних системах і могло виконувати підготовчу фазу для реалізації такої другої хвилі атаки, системним адміністраторам або уповноваженим особам з інформаційної безпеки таких систем СБУ дає такі рекомендації:
- здійснити обов’язкову зміну паролю доступу користувача krbtgt;
- здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
- здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
- на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
- повторно здійснити зміну паролю доступу користувача krbtgt;
- перезавантажити служби KDC.
Також у СБУ радять у подальшому уникати збереження в ІТС автентифікаційних даних у відкритому вигляді. Для таких цілей рекомендують використовувати спеціалізоване програмне забезпечення.
Читайте також:
Кіберполіція викрила чоловіка, який розповсюджував вірус Petya.A
